Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Kritische Gladinet Triofox-Lücke ermöglicht unautorisierte Codeausführung : Mandiant beobachtet aktive Ausnutzung der Schwachstelle CVE-2025-12480 durch Cluster UNC6485

Eine kritische Sicherheitslücke in der Plattform Triofox ermöglichte es Angreifern, Authentifizierungen zu umgehen und vollständigen Administrationszugang zu erlangen. Mandiant zeigt, wie daraus gefährliche Angriffsketten entstanden – und warum Unternehmen jetzt dringend handeln müssen.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

Mandiant stuft die Sicherheitslücke mit der Kennung CVE-2025-12480 als kritisch ein. Mit einem Schweregrad von 9,1 im Common Vulnerability Scoring System zählt sie zu den gefährlichsten Schwachstellen ihrer Kategorie. Angreifer konnten die Authentifizierung umgehen und sich so unbefugt Zugriff auf die Konfigurationsseiten von Triofox verschaffen.

Der Technologiekonzern teilte mit, dass er bereits seit dem 24. August 2025 eine Bedrohungsgruppe mit der Bezeichnung UNC6485 beobachtet, die die Schwachstelle aktiv ausnutzt – also fast einen Monat, nachdem Gladinet in der Version 16.7.10368.56560 entsprechende Sicherheitsupdates veröffentlicht hatte. Bemerkenswert ist, dass CVE-2025-12480 bereits die dritte Schwachstelle in Triofox ist, die allein in diesem Jahr aktiv ausgenutzt wurde – nach CVE-2025-30406 und CVE-2025-11371.

Bei dem Angriff handelt es sich um ein klassisches Beispiel für eine sogenannte n-day-Attacke. Dabei zielen Angreifer auf Systeme, bei denen bekannte Schwachstellen noch nicht durch Updates geschlossen wurden.

Angriffsablauf und Taktik

Laut den Versionshinweisen der Software wurde „ein zusätzlicher Schutz für die anfänglichen Konfigurationsseiten hinzugefügt“. Diese Seiten können nun nicht mehr aufgerufen werden, nachdem Triofox eingerichtet wurde.

Nach Angaben von Mandiant nutzte der Angreifer die Schwachstelle des unauthentifizierten Zugriffs aus, um Zugang zu den Konfigurationsseiten zu erhalten. Anschließend legte er über den Einrichtungsprozess ein neues systemeigenes Administratorkonto mit dem Namen Cluster Admin an. Dieses neu erstellte Konto wurde anschließend für weitere Aktivitäten verwendet.

Sicherheitsforscher Stallone D’Souza, Praveeth D’Souza, Bill Glynn, Kevin O’Flynn und Yash Gupta erklärten: „Um Code auszuführen, meldete sich der Angreifer mit dem neu angelegten Administratorenkonto an. Der Angreifer lud schädliche Dateien hoch, um sie über die eingebaute Antivirenfunktion auszuführen.“

Technische Details der Nachladekette

Die Angreifer führten ein Batchskript mit dem Namen „centre_report.bat“ aus, indem sie den Pfad des Antivirenprogramms auf dieses Skript umleiteten. Das Skript lud ein Installationsprogramm für das Zoho Unified Endpoint Management System von einer externen Adresse herunter und nutzte dieses, um Fernzugriffsprogramme wie Zoho Assist und AnyDesk zu installieren. Über Zoho Assist führten die Angreifer Erkundungen im Netzwerk durch, versuchten Passwörter zu ändern und fügten Konten zu lokalen Administratoren beziehungsweise zur Gruppe Domain Administratoren hinzu, um Berechtigungen zu eskalieren.

Zur Verschleierung luden die Angreifer Hilfsprogramme wie Plink und PuTTY herunter, um über den Port 430 einen verschlüsselten Tunnel zum Commans-and Control-Server mittels Secure Shell aufzubauen. Dadurch ermöglichten sie eingehende Remote Desktop Verbindungen.

 Warum dieses Muster gefährlich ist

Die Kombination aus unauthentifiziertem Zugriff, der Möglichkeit zur Erstellung systemeigener Administratorenkonten und der Ausführung beliebiger Dateien mit Systemrechten ergibt ein erhebliches Angriffspotenzial. Besonders brisant: Es ist nicht die erste aktiv ausgenutzte Schwachstelle in Triofox in diesem Jahr. Bereits frühere Sicherheitslücken wurden für ähnliche Angriffsketten missbraucht – ein klarer Hinweis darauf, dass die Plattform zunehmend in den Fokus professioneller Angreifer gerät.

Praktische Empfehlungen

Die Forschenden und Sicherheitsanbieter raten betroffenen Anwendern dringend zu folgenden Schritten:

  • Aktualisieren Sie Triofox umgehend auf die vom Hersteller veröffentlichte aktuelle Version. The Hacker News
  • Prüfen Sie alle Administratorkonten auf unautorisierte oder neu angelegte Konten und entfernen Sie verdächtige Einträge. Google Cloud
  • Verifizieren Sie, dass die Antivirenfunktion von Triofox nicht so konfiguriert ist, dass sie nicht autorisierte Skripte oder ausführbare Dateien ausführt.

Fazit

Die dokumentierte Kampagne folgt einem klassischen, aber sehr wirksamen Muster: eine anfängliche unautorisierte Konfigurationsmanipulation, das Erlangen hoher Berechtigungen durch das Anlegen systemeigener Administratorenkonten und anschließende Persistenz mittels Remotezugriffssoftware. Betreiber von Triofox und CentreStack sollten die genannten Gegenmaßnahmen unverzüglich umsetzen und ihre Erkennungsregeln auf folgende Indikatoren prüfen:

  • ungewöhnliche oder extern gestartete Installationsskripte,
  • neu angelegte lokale Administratorenkonten oder Änderungen an Gruppenmitgliedschaften wie Domain Administratoren,
  • Verbindungen zu externen Adressen, die mit den bekannten Indikatoren für Kompromittierungen korrespondieren.

Zusätzlich empfiehlt es sich, privilegierte Konten zu überprüfen, aktive Remotezugriffsprogramme zu inventarisieren und verdächtige Anmeldungen sowie Konfigurationsänderungen langfristig zu monitoren, um Nachfolgeschritte der Angreifer frühzeitig zu erkennen.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.